OSForensics 是一款专业数字取证软件具备以下核心功能极速文件搜索与索引支持全文检索及数百种格式、数据恢复恢复已删文件、检测HPA/DCO隐藏区、访问卷影副本、用户活动追踪分析浏览器历史、USB连接、WiFi、注册表MRU及事件日志、密码恢复与破解提取浏览器密码、WiFi凭证、产品密钥支持彩虹表和字典攻击、十余种内置查看器文件、内存、注册表、SQLite/ESE数据库、USN日志、邮件、Prefetch、Plist等、底层磁盘分析原始磁盘查看器、文件系统浏览器、RAID重组、案件管理加密案件、审计日志、自定义报告以及便携运行从U盘启动无需安装。其覆盖了从证据发现、深度分析到报告呈现的完整取证流程。OSForensics 强大的证据发现能力OSForensics是一款功能全面且强大的数字取证软件。它从高速文件搜索与索引入手深入到邮件取证、数据恢复与隐藏区域分析再通过全面的用户活动追踪和密码恢复功能重建操作轨迹最后通过系统信息收集、辅助工具和案件管理报告功能提供了一个从证据发现到分析再到呈现的完整闭环。其模块化的设计和对速度、深度的追求使其成为数字取证领域的高效解决方案。1、文件搜索与索引作为其核心功能之一该模块旨在从海量数据中快速、精确地定位关键证据。高速文件查找支持按文件名、大小、创建/修改日期等元数据搜索文件其速度远超Windows自带搜索并能确保找到磁盘上的所有文件不会遗漏。全文本内容搜索可对硬盘内数百种格式的文件进行全文索引和搜索支持相关性排序、日期范围筛选、通配符、排除项“负搜索”等高级功能。广泛的格式支持索引功能支持包括Office文档DOC/X, PPT/X, XLS/X、PDF、图片JPG, PNG, TIFF等、音视频MP3、压缩包ZIP, RAR, 7z等、光盘镜像ISO等多种格式。即使文件缺少扩展名也能通过分析内容确定其真实类型。内置文件查看器无需依赖外部程序即可直接以图像、文本、十六进制等多种方式查看文件内容并提取其中的元数据。缩略图缓存查看器能从Windows的缩略图缓存文件中提取图片这些缓存可能包含已被删除的图片证据。2、邮件取证邮件是数字取证中的关键证据源该模块实现了对各类邮件的高效检索与审查。多格式邮件索引可为PST/OST (Outlook)、MBOX/EML (Thunderbird等)、MSG、DBX (Outlook Express) 等多种邮件档案建立索引无需安装对应的邮件客户端即可读取。高速邮件搜索基于索引可在1秒内完成对2万封邮件的搜索并支持按日期、收件人、发件人、抄送人等字段进行精确筛选。内置邮件查看器可直接在软件内打开邮件查看完整的邮件头、纯文本、HTML和RTF等格式内容并能提取所有附件。3、数据恢复与隐藏区域分析此模块旨在挖掘被删除或有意隐藏的证据数据。恢复已删除文件能够恢复已从回收站清空的文件并直观显示文件碎片在磁盘上的分布情况。HPA/DCO隐藏区域检测能够检测并访问硬盘的HPA和DCO这两个隐藏区域这些区域通常被用于隐藏非法数据可对其中的隐藏数据进行镜像或移除处理。卷影副本访问内置对卷影副本Volume Shadow Copy的支持允许浏览文件系统在历史时间点的状态从而发现文件的变更记录或已删除的文件。原始磁盘查看器可以按扇区逐个查看磁盘的原始内容用于分析文件系统之外的隐藏数据。4、用户活动追踪“用户活动追踪”是 OSForensics 中的核心模块用于全面重建和分析用户在系统上的操作轨迹为调查提供了关键信息。这个功能的核心是一键扫描它能自动收集和分析 Windows 系统及常用软件留下的各类数字痕迹。用户只需在软件中运行“Recent Activity scan”工具就会自动在后台开始分析。其扫描和分析主要覆盖以下几个方面用户活动综合扫描一键扫描系统获取用户访问的网站、连接过的USB设备、无线网络、最近的下载记录等关键行为证据。Web浏览器活动通过扫描Chrome, Edge, IE, Firefox, Opera, Safari等主流浏览器的数据它能够提取完整的访问记录包括浏览历史与下载记录。网站存储的Cookies。用户在网站上保存的登录用户名和密码。系统与应用程序痕迹这部分主要分析Windows注册表和系统特性重建用户行为轨迹。MRU列表解析注册表中的“最近使用的项目”MRU包括访问过的Office文档、通过“运行”框执行的命令、连接的网络驱动器等。跳转列表 (Jump Lists)扫描Windows 7及以上系统任务栏的跳转列表获取用户通过固定在任务栏的程序最近打开的文件记录。Windows搜索索引分析系统默认开启的搜索索引数据库其中包含的文件活动记录可作为一种补充的数字足迹。Windows事件日志扫描安全、系统和应用程序日志以发现账户登录/注销、系统开关机、驱动安装和应用安装等关键事件。外部设备连接记录USB设备显示曾连接到计算机的USB设备详细信息包括制造商、产品ID、序列号及最后连接时间。无线网络列出计算机曾连接过的WiFi接入点名称及连接时间。跨平台支持 (Mac OS X)该模块也支持对Mac OS X系统的分析可以提取Safari浏览器记录、最近使用的项目、连接的iOS设备备份和WiFi信息等。时间线视图 (Timeline View)所有收集到的活动数据文件创建、网页浏览等都会被整合到一个交互式条形图中你可以在年、月、日等不同粒度上缩放直观地查看系统活动的高峰期和行为模式。高级技巧分析独立注册表文件如果你有从其他系统提取出来的注册表文件如SAM, SYSTEM, NTUSER.DAT等可以将它们放在一个无系统的磁盘如U盘根目录下然后用此模块扫描该磁盘同样能快速解析出其中的用户活动记录。5、系统信息与密码恢复此模块负责收集计算机的基础配置信息并尝试恢复各类加密或存储的凭证。系统信息收集可详细收集CPU、主板、内存、BIOS、显卡、USB控制器、网络适配器等硬件信息。支持通过Python脚本调用第三方工具来扩展信息收集能力。OSForensics 的密码恢复功能不仅限于“找回”更侧重于“恢复”和“破解”具体机制如下直接恢复的密码对于存储在系统中的凭证OSForensics 可以直接读取和恢复。浏览器保存的密码可恢复Chrome, Edge, IE, Firefox, Opera等浏览器中保存的网站用户名和密码。即使是访问过但选择“不保存”密码的网站也会被标记为“黑名单”URL。系统与网络凭证包括Outlook和Windows Live Mail密码、系统保存的WiFi密码、Windows自动登录密码以及Windows 7/8/10和Office/Visual Studio等微软产品的产品密钥。主动破解哈希与文档解密当无法直接获取明文密码时工具会采用技术手段进行破解。哈希破解与彩虹表它可以利用彩虹表快速查找与MD5、LM、NTLM、SHA1哈希值对应的明文密码也支持自行生成彩虹表。Office与PDF文档解密旧版文件 (40位加密)对使用40位加密的旧版Office97/2000和PDF文件软件能通过穷举密钥的方式进行暴力破解理论上最多3天可完成。新版文件对于采用AES等强加密的Office 2007和RAR文件由于破解速度被大幅减慢只能进行字典攻击即使用预设的字典文件不断尝试密码。性能加速 (专业版)其密码恢复模块采用主从架构。一个服务器端分配任务多个客户端可以同时在网络上不同的计算机上运行协同进行密码破解极大提升速度。6、辅助工具与报告管理为完成整个取证流程提供必要的辅助功能和案件管理能力。内置取证浏览器提供一个专门用于取证分析的文件系统浏览器能显示更多额外信息并与OSForensics的其他功能深度集成。证据网页捕获器内置一个简易网页浏览器可将网页内容包括嵌入的视频截取保存为案件证据适用于从社交媒体等在线平台收集信息。哈希匹配与文件验证使用MD5、SHA-1、SHA-256等哈希算法为文件生成数字指纹用于验证文件完整性或识别可疑文件。误报文件查找通过分析文件内容与其扩展名是否匹配来发现用户试图通过修改扩展名来隐藏的“暗数据”。数据库浏览器内置SQLite和ESE数据库浏览器可直接查看和分析这些数据库中存储的取证数据。案件管理与报告生成支持创建和管理多个案件并生成包含调查发现、时间线、附件等的自定义报告便于记录和呈现整个调查过程。配套工具集提供OSFMount用于挂载磁盘镜像、OSFClone用于创建磁盘的原始镜像、ImageUSB用于将镜像同时写入多个U盘等辅助工具形成一个完整的取证生态系统。7、功能亮点与特色速度快文件搜索和邮件索引/搜索的速度远超同类工具和操作系统自带功能。深入底层能够处理HPA、DCO、卷影副本等操作系统通常不直接暴露的底层数据区域。不依赖外部环境解析邮件、查看文件、读取注册表等操作均不依赖原应用程序或Windows API确保取证分析的原件性和独立性。集成化程度高将数据发现、恢复、分析、报告生成等取证流程整合在一个统一的界面中并提供了多种内置查看器大幅提升了工作效率。OSForensics 强大分析能力——内嵌多方位的查看器OSForensics 的核心分析能力很大程度上是通过其丰富的查看器Viewer模块来体现的。这些工具覆盖了从最底层的磁盘原始数据到高级应用层日志的各个层面。其中包含几个通用的分析工具它们是许多调查工作的基础。哈希匹配与验证 (Verify and Match Files)这是确保证据完整性和识别已知文件的核心手段。OSForensics 支持SHA-1、MD5、SHA-256等算法为文件或磁盘卷生成哈希值数字指纹用以验证文件是否被篡改。同时它能利用哈希集快速识别已知的安全文件或可疑文件帮助调查人员快速排除无关文件或定位恶意软件、违禁品等证据。误报文件查找 (Find Misnamed Files)这一功能用于揭露“暗数据”Dark Data即用户通过修改文件扩展名来隐藏真实内容的文件。它能分析文件内容的原始字节找出那些内容与扩展名不符的文件并将它们从文件列表中预览以便进一步分析。硬盘签名对比 (Compare Drive Signatures)此功能通过创建和对比硬盘的“签名”快照来监控文件系统的变化。该签名包含文件的目录路径、大小和属性等信息。通过对比不同时间点的签名可以快速识别出新增、修改或删除的文件并支持导出差异报告。接下来将详细探讨 OSForensics 提供的各类专属查看器。1、核心文件分析文件查看器 (File Viewer)这是一个支持多模式的内置查看器可从多个维度分析文件内容。图片/视频查看器 (Image/Video Viewer)支持BMP、JPG、GIF、PNG、Exif、TIFF等图片格式以及MPG、MP4、AVI、MKV、WMV等多种视频格式视频查看器可同时显示9个关键帧用于快速检视。十六进制/字符串查看器 (Hex/String Viewer)以十六进制显示文件原始字节并能提取其中的 ASCII/Unicode 字符串且支持用户配置字符串的最小/最大长度。文本查看器 (Text Viewer)将任何文件包括二进制文件作为文本来显示适用于寻找隐藏在二进制文件中的文本。元数据查看 (Meta Data Viewer)自动显示文件格式特定的元数据如图片的相机型号、文档的作者信息等。2、操作系统与应用痕迹分析内存查看器 (Memory Viewer)支持对活动系统的内存进行分析能显示所有运行中进程的详细信息也支持对内存转储文件进行静态分析提取进程列表、可疑进程、已加载驱动和检测到的恶意软件等信息。注册表查看器 (Registry Viewer)此查看器不依赖 Windows API可直接分析离线注册表文件并能绕过 Windows 权限限制和 Rootkit 的隐藏行为。它能显示键值的最后编辑时间并提供强大的搜索和导出功能。缩略图缓存查看器 (Thumbnail Cache Viewer)能读取 Windows 的缩略图缓存数据库展示其中的图片缩略图。这项功能在原始图片已被删除的情况下尤为关键因为缩略图可能仍然存在从而成为重要的证据来源。Prefetch 查看器 (Prefetch Viewer)用于分析 Windows Prefetch 文件夹中的文件可以获取程序的运行次数、最后运行时间以及它访问过的文件等应用执行指标用于还原用户的应用使用模式。Plist 查看器 (Plist Viewer)用于解析 macOS 和 iOS 系统中用于存储配置信息的 Plist 文件同时支持 XML 和二进制格式并允许在键值中进行搜索。3、数据库与日志分析SQLite 数据库浏览器 (SQLite Database Browser)支持直接打开和查看SQLite格式的数据库文件这类文件被iPhone、Firefox、Chrome等广泛应用。ESE 数据库查看器 (ESE Database Viewer)专门用于查看微软的可扩展存储引擎ESE数据库Windows 搜索、Windows Live Mail、Internet Explorer等应用都使用此格式。USN 日志查看器 ($UsnJrnl Viewer)用于解析 NTFS 文件系统的$UsnJrnl变更日志其中记录了文件的创建、删除、覆盖等所有变动。这对于识别那些已经从文件系统中消失的可疑文件如恶意软件非常有价值。Windows 事件日志查看器 (Event Log Viewer)支持查看和分析 Windows Vista 及以后版本的.evtx事件日志文件。它提供高级过滤、正则表达式搜索以及直观的时间线图表视图并能将结果导出为 CSV、TXT 或 HTML 格式。Web 服务器日志查看器 (Web Server Log Viewer)支持解析和分析Apache、IIS、NGINX等主流 Web 服务器的访问日志和错误日志支持通用、组合和自定义日志格式并能生成 Top 报告和导出数据。4、专项取证分析时间线查看器 (Timeline Viewer)它能将文件创建、网页浏览、USB 连接记录等系统活动数据整合到一个交互式条形图中提供随时间变化的可视化展现。分析师可以按年、月、日等不同粒度缩放时间轴快速定位特定时间段内的活动高峰。邮件查看器 (Email Viewer)无需安装 Outlook 或 Thunderbird 等邮件客户端即可直接解析PST、OST、EML、MSG等格式的邮件档案。查看器会完整展示邮件头、正文Text、HTML、RTF以及所有附件。5、磁盘与文件系统底层分析文件系统浏览器 (File System Browser)一个类似资源管理器的工具但能显示更多取证信息。它支持NTFS、FAT、exFAT、Ext、HFS、APFS等主流文件系统。其独特功能包括列出已删除文件、绕过 NTFS 权限、显示 NTFS 数据流、查看文件碎片状态等。原始磁盘查看器 (Raw Disk Viewer)此工具允许用户直接查看和分析物理磁盘或分区镜像的原始扇区数据可访问操作系统通常无法触及的区域如空闲簇和文件 Slack 空间。它内置了文本/十六进制搜索、磁盘偏移量高亮显示以及对 MBR、GPT 等磁盘结构的解码功能。OSForensics 通过这些多样且深入的查看器构建了一套从应用层到底层、从易失性内存到非易失性存储的完整取证分析体系。OSForensics 全流程的案件管理功能OSForensics 提供了一套贯穿取证工作全流程的案件管理功能。这些功能确保了从案件创建、证据采集、数据分析到报告呈现的每一步都规范、安全且高效为调查工作构建了完整的管理体系。1、案件全生命周期管理创建与管理案件 (Create and Manage Cases)OSForensics 允许将所有发现的证据如文件搜索结果、用户活动记录等整合到一个加密安全的案件文件中并支持添加外部报告、证据照片和设备。案件内的所有项目都可被快速访问同时它还能让你自定义字段、加载模板并使用HTML编辑器撰写案情描述。安全日志记录 (Secure Case Logging)该功能可自动记录调查过程中的所有活动形成完整的审计追踪用于事后复盘或评估调查人员的操作是否符合规范。日志文件采用加密存储并包含多层完整性校验如哈希链能有效防止被篡改。生成报告 (Generate Reports)支持将案件文件导出为自定义的HTML或PDF报告清晰地呈现所有证据。你可以从5种预定义模板中选择并添加公司Logo同时支持将外部HTML报告或其他类型的文档整合进来。2、存储设备与证据源管理存储设备管理 (Storage Device Management)该功能提供了一个集中管理所有证据源的界面。你可以将物理磁盘、分区、镜像文件、网络路径、卷影副本以及BitLocker加密卷等添加到案件中。添加后可以为每个设备设置一个用户定义的别名方便在所有OSForensics功能中统一访问。磁盘镜像 (Drive Imaging)支持创建和恢复存储设备的逐位bit-by-bit完整镜像是确保证据原始性的关键步骤。该功能利用了Windows的卷影复制服务允许在系统运行时对正在使用的磁盘如系统盘进行镜像而不会造成数据损坏。云端硬盘取证 (Cloud Drive Imaging)支持从Dropbox和Microsoft OneDrive账户中下载文件并可以保存云端特有的元数据如修改时间、哈希值等。云端账户取证 (Cloud Account Imaging)支持将来自Outlook/Hotmail等服务的网页邮件导出为MBOX格式便于后续使用OSForensics的邮件查看器进行分析。RAID重组 (Rebuild RAID)该功能能够根据一组物理磁盘镜像重组出RAID阵列的逻辑镜像。它支持RAID 0、1、5等多种常见级别并能自动检测Intel Matrix RAID、Linux mdadm等元数据格式自动配置RAID参数。3、便携与安全部署便携性 (Portability)OSForensics可以直接安装并运行在U盘上无需在目标计算机上安装从而避免了因安装软件而意外覆盖或删除潜在证据的风险。此外它还可以被配置为从U盘直接启动不依赖目标机器的操作系统运行。